HOME

Horror-Meldung zu Weihnachten: So können Hacker die Kassensysteme für EC-Karten übernehmen

Hacker haben einen Weg gefunden, mit kopierten EC-Kartenterminals Konten zu plündern. Die Girocard-Betreiber wiegeln die Vorwürfe ab.

EC Karte Hack

Die EC-Karte und die Zahnlungsterminals sind wohl nicht so sicher, wie gedacht. Die Kunden müssen sich vorerst aber noch nicht fürchten.

Die Terminals, die in Geschäften für Kartenzahlungen eingesetzt werden, können laut Berliner IT-Experten mit etwas technischem Sachverstand geklont und dann zum Plündern von Händler-Konten verwendet werden. Kriminelle könnten über die Funktion zum Aufladen von Telefon-SIM-Karten oder als vermeintliche Rückzahlung bei Retouren Geld abbuchen, erklärte die IT-Sicherheitsfirma SRLabs am Dienstag. Bei einem solchen Szenario wären nur die Händler betroffen, aber nicht die Karten-Inhaber. Lücken in der Kommunikation zwischen Karten-Terminals und Kassengeräten ließen aber auch Kartendaten bis hin zur PIN auslesen, warnte SRLabs. Die Vereinigung Deutsche Kreditwirtschaft erklärte: "Der von der Berliner Security Research Labs (SRLabs) durchgeführte Angriff auf das Girocard-Bezahlsystem ist nicht realistisch."

Der Kern des Problems ist den Forschern zufolge, dass in den Karten-Terminals zum Teil identische Sicherheits-Schlüssel verwendet werden. Das lasse zu, dass man ein solches Gerät klonen und beim Zahlungsabwickler für das Original ausgeben könne. Dafür braucht man ein ähnliches Terminal, das es zum Beispiel im Internet zu kaufen gibt. In das Gerät könne die ID eines tatsächlich bei einem Händler aktiven Terminals eingespeist werden. Diese ID-Nummer steht auf jedem Kassenbon. Mit einem solchen geklonten Terminal bekomme man Zugang zum Konto des Händlers bei einem Zahlungsabwickler und könne auf dessen Geld zugreifen, erklärte SRLabs.

Nötige Informationen sind zu leicht zu beschaffen

"Jeder kann so tun, als ob er jedes andere Gerät wäre und dann auf die Konten der entsprechenden Händler zugreifen", sagte SRLabs-Leiter Karsten Nohl "Zeit Online".

Für den Hack brauche man zwar noch weitere Informationen neben der Terminal-ID, sie sind laut SRLabs aber für Kundige relativ einfach zu beschaffen. So komme man an die Service-Passwörter der Betreiber heran, die benötigt werden, um zu den Einstellungen des Terminals vorzustoßen. Das Service-Passwort lasse sich auch aus dem Gerät auslesen, erklärten die Experten "Zeit Online". Die dritte erforderliche Information - die voreingestellte Port-Nummer - lasse sich über einen Diagnosebefehl herausfinden, hieß es. Die Experten von SRLabs hätten drei Monate lang an dem Hack gearbeitet.

Details noch unbekannt

Ausführliche Details will SRLabs am 27. Dezember beim Kongress des Chaos Computer Clubs (CCC) in Hamburg vorstellen. Als kurzfristige Lösung sollten die Funktionen für SIM-Aufladung und Retouren deaktiviert werden, empfahlen die Experten. Auf lange Sicht müsse jedes Terminal seinen eigenen Sicherheitsschlüssel bekommen, damit keine Kopien mehr erstellt werden könnten.

Die Deutsche Kreditwirtschaft nahm am Dienstag nicht zu den technischen Einzelheiten des von SRLabs beschriebenen Angriffsszenarios Stellung. In einer Stellungnahme hieß es, die vorgestellten Angriffe erfolgten auf die Magnetstreifentechnik und seien nicht auf Chipkarten übertragbar: "Missbrauch oder Schäden im Girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen."

Die Forscher stellten ihre Erkenntnisse vorab dem Rechercheverbund von "Süddeutscher Zeitung", WDR und NDR sowie "Zeit online" und der US-Website "Motherboard" vor. SRLabs hatte bereits vor drei Jahren von einem Weg berichtet, wie EC-Karten geklont werden können.  

mma / DPA
Themen in diesem Artikel
kann man sich gegen eine maßnahme vom jobcenter wehren?
hallo. ich bin quasi arbeitsunfähig seit meinem 18ten lebensjahr. ich wiege 200 kg und habe eine betreuung weil ich sonst gar nichts schaffen würde. sie bringt mich zu terminen und begleitet mich zu arzt besuchen. das einzige was ich noch alleine kann ist einkaufen und das auch nur weil es nunmal lebensnotwendig ist ,jedoch bin ich danach total erschöpft und fertig.ich kann keine 200 meter mehr laufen.und mal ganz abgesehen von meiner körperlich verfassung leide ich seit meiner kindheit an starken depressionen,borderline,panikattacken,einer traumatischen belastungsstörung und angstzuständen. ich bin demnach körperlich sowie auch psychisch ziemlich fertig. gestern war ich beim amtsarzt zur begutachtung sowie auch einmal vor 2 jahren. und die ärztin sagt mir ernsthaft,das es zumindest köperlich nicht ausreichen würde das ich weiterhin krank geschrieben werden kann und sagte,das eine maßnahme sicherlich gut sein kann.und das obwohl ich bereits sagte,das ich körperlich unfähig bin irgendwas alleine zu schaffen und ,meine betreuerin mich überallhin begleiten muss.(ich habe kein auto)ich bin vollkommen entsesetzt und habe nun angst das sie mich in eine maßnahme stecvken welche ich einfach nicht schaffe und sie mir dann das minum an geld nehmen welches ich bekomme und ich dann verhungernd und auf der starße leben muss,eben weil es ein ding der unmöglichkeit für mich darstellt.kann man sich da irgendwie wehren?sie sagt sie findet ich sei zu jung um berentet zu werden (28).ich habe gerade wirklich angst.kann man einen menschen zwingen etwas für ihn unmögliches zu tun?ich hab das gefühl die wollen irgendeine quote erfüllen und solange man die arme bewegen kann,ist man arbeitsfähig...hilfe :(